کمیته رکن چهارم – نرم افزار محبوب Autodesk در یک شرکت معماری بین المللی مورد سوء استفاده قرار گرفت. در این عملیات هکرها از یک آسیب پذیری موجود در نرم افزار محبوب Autodesk برای اجرای حملات سایبری علیه یک شرکت بین المللی معماری و فیلمبرداری بهره برداری کردند.
تجزیه و تحلیل فنی این حمله به گروهی پیشرفته و به سبک APT اشاره دارد که در مورد سیستم های امنیتی (شرکت مورد نفوذ قرار گرفته) دانش قبلی داشته و از نقص موجود در برنامه های نرم افزاری استفاده کردند. هکرها با برنامه ریزی دقیق موفق به حمله شده و توانستند داده های آن شرکت را به سرقت ببرند. محققان امنیتی در تحقیقات و گزارشات خود نامی از این شرکت نبردند اما بررسی های دیگر نشان می دهد که شرکت مربوطه در پروژه های ساخت و ساز میلیارد دلاری در نیویورک، لندن، استرالیا و عمان همکاری داشته است.
نرم افزار Autodesk 3ds Max یک برنامه گرافیکی رایانه ای است که توسط مهندسان طراح ساختمانی و معماری یاشرکت های تولید بازی های رایانه ایی برای ساخت انیمیشن های سه بعدی استفاده می شود که توسط Autodesk Media and Entertainment توسعه یافته است.
“زیرساختهای عملیاتی و همچنین سرورهای کنترل – فرمان استفاده شده توسط این گروه در کره جنوبی واقع شده است. در طول تحقیقات، محققان Bitdefender دریافتند که هکرها دارای یک ابزار کاملا دقیق با قابلیت جاسوسی پیشرفته هستند و از آسیب پذیری که قبلاً در این برنامه شناسایی نشده بود بهره برداری کردند.”
افزونه ای برای Autodesk 3ds Max وجود که معمولا متخصصان از آن استفاده می کنند ولی در اصل این افزونه یک پیلود مخرب می باشد. محققان امنیتی مشخص نکردند که هکرها چگونه قربانیان خود را برای لود این افزونه ترغیب می کردند. در اصل این افزونه نوعی از اکسپلویت MAXScript مختص برنامه Autodesk 3ds Max است که “PhysXPluginMfx” نامیده می شود.
این بهره برداری غیر مجاز با اجرای کد مخرب می تواند تنظیمات نرم افزار ۳ds Max را بهم بریزد و در نهایت به سایر فایل ها روی یک سیستم ویندوز دسترسی پیدا کند (در صورتی که فایل های حاوی اسکریپت در ۳ds Max لود شوند).
روش عملیاتی این گروه APT بدین گونه است که آنها از MAXScript PhysXPluginStl برای دانلود و اجرای فایل DLL تعبیه شده بهره برداری کردند. این فایل به عنوان لودر برای دو فایل باینری دات نت عمل می کند. این فایل ها سپس سایر MAXScript های مخرب را دانلود کرده و اطلاعات مختلفی در مورد قربانی جمع آوری می کنند (از جمله کلمات عبور مرورگر وب Google Chrome و Firefox و همچنین اطلاعات مربوط به دستگاه و تصاویر). سپس آن را با یک الگوریتم سفارشی رمزگذاری کرده تا محتوای آن base64 به نظر برسد.
در ادامه، محققان امنیتی تعدادی ابزار جاسوسی مورد استفاده هکرها از جمله HdCrawler را کشف کردند که فایل های خاصی را فشرده سازی و در سرور C2 آپلود می کند. همچنین یک InfoStealer شناسایی شده که قابلیت نمایش و جمع آوری صفحات نام کاربری، آدرس های IP شبکه، اطلاعات مربوط به ذخیره سازی و اطلاعات متفرقه در مورد سیستم را دارد.
محققان امنیتی می گویند که سطح عملیاتی پیشرفته ایی از مهاجمین دیده شده که با یک تاکتیک فریبنده خاص همراه است. محققان گفتند: اگر برنامه های Task Manager یا Performance Monitor (در هنگام حمله) در حال اجرا هستند (و پنجره مربوط به آنها قابل مشاهده است یعنی Minimize نشده باشد) فرآیند اجرایی هکرها به حالت sleep می رود تا قربانی متوجه تغییراتی از قبیل مصرف CPU نشود.
شرکت Autodesk بیانیه ایی برای این نقص امنیتی صادر کرده است:
“Autodesk به کاربران ۳DS Max توصیه می کند که آخرین نسخه های امنیتی را برای Autodesk 3ds Max 2021-2015SP1 موجود در فروشگاه App Autodesk جهت شناسایی و حذف ابزارهای مخرب PhysXPluginMfx MAXScript دانلود کنند ،”